在以资源共享为中心的分布式计算环境中,对资源的访问往往需要跨越多个安全域,如何完成多域间的访问控制,在陌生实体间建立信任关系成为当前信息安全领域的一个研究热点。传统的访问控制技术,如自主访问控制,基于角色的访问控制等都是在单一安全域内基于系统已知的用户访问系统,无法适用于多域环境。自动信任协商的提出,解决了这个问题。它通过协商参与者之间逐步暴露数字证书和访问控制策略来完成信任的攀升式建立,最终在服务请求方和资源提供方之间自动的建立信任关系,达到多域环境下的资源共享和协作。目前对自动信任协商的研究主要集中在协商模型,策略语言及协商过程中敏感信息保护等方面,特别是敏感信息的保护。学者们提出了多种协商协议,比较有代表性的就是隐藏证书系统。隐藏证书在双线性对上构造加密算法,具有较高的安全保密性。协商信息和资源用访问控制策略进行加密,只有满足策略的证书才能解密。证书和策略都不在网络上传播,可以防止敏感信息的泄露。本文重点研究了隐藏证书系统在自动信任协商中的应用,分析了在跨安全域环境下隐藏证书认证的优点及面临的攻击威胁,主要研究内容有:⑴对隐藏证书系统抗攻击能力进行了深入的分析,总结了其在敏感信息保护方面的优势,以及在抵抗DoS攻击和CA冒充攻击方面的脆弱性。⑵针对隐藏证书容易遭受DoS攻击的问题,分析了信任协商中DoS攻击的主要形式,在现有隐藏证书系统的基础之上,提出了改进方案,引入消息认证机制,采用Hash函数保证协商信息的完整性和识别发送方的真伪。最后对改进方案的正确性进行了证明并分析了其安全性。⑶为了防止CA因为拥有用户的私钥而冒充用户,在隐藏证书系统的证书发布机构建立阶段建立两个独立的CA,由他们共同完成用户属性证书的颁发。这样可以避免CA冒充用户的情况发生,由于引入两个CA,分拆了主密钥,即使其中任何一个泄露,攻击者也无法得到完整的主密钥或者加大了其攻击的困难性。在很大程度上提高了系统的安全性,弥补了基于身份加密系统本身存在的缺陷。